ファイアウォールマネージャーの AWS WAF ポリシーで自動修復が機能していない理由は何ですか?

所要時間1分
0

AWS Firewall Manager の WAF ポリシーで、自動修復が機能していません。

簡単な説明

Firewall Manager AWS WAF ポリシーは、保護したいリソースにウェブ ACL を関連付ける自動修復機能を使用しています。

解決策

以下のベストプラクティスに従って AWS WAF の AWS Firewall Manager ポリシーを作成してください。

開始する前に、AWS Firewall Manager の前提条件を満たしていることを確認してください。詳細については、「How do I set up AWS Firewall Manager for my AWS account?」を参照してください。

AWS WAF ポリシーに、以下が含まれていることを確認してください。

  • AWS Organization または特定の組織単位 (OU) での AWS アカウント。
  • Amazon CloudFront ディストリビューションを保護している場合は、AWS リージョンが「グローバル」に設定されていることを確認します。
  • マネージドルールグループを使用している場合は、まず AWS Marketplace のサービスをサブスクライブしていることを確認してください。詳細については、「Rule groups」を参照してください。
  • リソースの種類に、保護したいリソースの種類が含まれていることを確認します。注: リソースタイプでは、Global を選択した場合にのみ CloudFront ディストリビューションを選択するオプションを使用できます。
  • AWS Marketplace 出品者のルールグループを使用する場合は、AWS アカウント内にアクティブなサブスクリプションがあることを確認してください。それ以外の場合、AWS WAF は、ウェブ ACL を、範囲内のリソースに関連付けることができません。
  • ポリシーの効果を確認したら、自動修復をアクティブ化してください。

AWS WAF Classic については、「Working with AWS WAF Classic rule groups for use with AWS Firewall Manager」を参照してください。

Application Load Balancer を使用した Firewall Manager ポリシーの優先順位

**シナリオ 1: **

AWS Shield Advanced のポリシーと、Application Load Balancer を使用する Firewall Manager ポリシーがある場合は、Firewall Manager ポリシーが優先されます。つまり、Firewall Manager ポリシーは Shield Advanced ポリシーのウェブ ACL に優先するため、Application Load Balancer に関連付けられます。

注: Shield ポリシーの空のウェブ ACL は、リソースに入ってくるデータをキャプチャするためにのみ存在します。このデータは、DDoS 攻撃の分析に役立ちます。

シナリオ 2

対象範囲内の Application Load Balancer に 2 つの AWS WAF ポリシー (P1 と P2) がある場合、関連付けに到達したポリシーが最初に適用されます (P1)。2 番目のポリシー (P2) は、Application Load Balancer に、既にウェブ ACL が関連付けられているかどうかを確認します。

関連情報

AWS Firewall Manager に関するよくある質問

Firewall Manager コンテンツ監査セキュリティグループポリシーでカスタムポリシールールを使用するにはどうすればよいですか?

AWS公式
AWS公式更新しました 1年前
コメントはありません